Samantha-A-Taylor/MalwareAnalysisPortfolio
GitHub: Samantha-A-Taylor/MalwareAnalysisPortfolio
一个基于 LetsDefend 平台的 SOC 恶意软件分析实践作品集,展示从告警分诊到证据裁定与关闭的完整调查工作流。
Stars: 0 | Forks: 0
# SOC 恶意软件分析作品集
## 项目概述 ☰
本项目记录了一系列作为 SOC 分析师实践,通过 LetsDefend 的模拟告警环境完成的手动恶意软件告警和恶意软件分析挑战调查。每份报告都遵循完整的调查工作流,涵盖从初始分诊、证据收集、裁定判定到关闭原因的整个过程,涉及木马、勒索软件、恶意文档和恶意脚本的告警与挑战。**本项目的目标是展示一种可重复、基于证据的恶意软件分诊与分析方法:** 识别危险信号,通过独立的第三方沙箱验证妥协指标 (IOC),通过日志数据追踪投递路径,确认(或排除)在目标端点上的执行情况,以及对混淆代码进行逆向工程以重建完整的感染链。
## 项目部分
✓ [告警 | 检测到 Emotet 恶意软件](https://github.com/Samantha-A-Taylor/MalwareInvestigationPortfolio/blob/main/Alert%20%7C%20Emotet%20Malware%20Detected.md)
✓ [告警 | 检测到恶意软件](https://github.com/Samantha-A-Taylor/MalwareInvestigationPortfolio/blob/main/Alert%20%7C%20Malware%20Detected.md)
✓ [挑战 | 恶意文档](https://github.com/Samantha-A-Taylor/MalwareInvestigationPortfolio/blob/main/Challenge%20%7C%20Malicious%20Doc.md)
✓ [挑战 | 恶意 VBA](https://github.com/Samantha-A-Taylor/MalwareInvestigationPortfolio/blob/main/Challenge%20%7C%20Malicious%20VBA.md)
✓ [挑战 | PowerShell 键盘记录器](https://github.com/Samantha-A-Taylor/MalwareInvestigationPortfolio/blob/main/Challenge%20%7C%20PowerShell%20Keylogger.md)
✓ [挑战 | 远程办公](https://github.com/Samantha-A-Taylor/MalwareInvestigationPortfolio/blob/main/Challenge%20%7C%20Remote%20Working.md) ## 汇总表
### 告警
| 告警 | 严重程度 | 裁定 | 关键证据 |
| --- | --- | --- | --- |
| 检测到 Emotet 恶意软件 | 中危 | 真阳性 | 被 VirusTotal 和 AnyRun 标记为 Emotet 木马的 Zip/Word 释放器;文件在执行前被端点自动清除 |
| 检测到恶意软件 | 高危 | 真阳性 | Invoice.exe 揭开伪装并通过 AnyRun 引爆确认为 MAZE 勒索软件;哈希值经 VirusTotal 交叉验证(61/69 家厂商);端点需要隔离 |
### 挑战
| 挑战 | 恶意软件/技术 | 关键发现 |
| --- | --- | --- |
| 恶意文档 | RTF 漏洞利用 (CVE-2017-11882) | 漏洞利用释放 `jan2.exe`,连接到 `185.36.74.115:80`/`185.36.74.48:80`,将 `aro.exe` 写入磁盘 |
| 恶意 VBA | 混淆的宏下载器/释放器 | 通过 CyberChef 对十六进制编码字符串进行反混淆,揭示了基于 WMI 的进程创建例程 |
| PowerShell 键盘记录器 | PowerShell 键盘记录器 | 静态审查发现了基于 `user32.dll` 的键盘记录、端口 9050 上的代理 C2 以及基于文件的窃取行为 |
| 远程办公 | 恶意的启用宏的 Excel 间谍软件 | VirusTotal 标记为 46/64 家厂商;已识别出释放的文件和间谍软件投递 URL |
## 核心功能 🔑
```
✓ Initial alert triage to identify red flags in file names, delivery vectors, and endpoint behavior
✓ Malware sandbox detonation and analysis using VirusTotal and AnyRun, including unmasking of disguised executables
✓ Malicious document and macro analysis, including exploit/CVE identification and dropped file/payload tracing
✓ String and script deobfuscation (CyberChef, static code review) to reconstruct downloader/dropper execution chains
✓ Log management to trace connections and delivery paths between source and destination addresses
✓ Endpoint investigation to confirm or rule out execution, containment, and persistence
✓ Living-off-the-land technique recognition (WMI, ADODB, MSXML2) and C2/exfiltration behavior analysis
✓ True positive / false positive determination with documented, evidence-based closure reasoning
```
## 使用技术 🛠️
```
✓ LetsDefend SOC Platform (Log Management & Endpoint Security modules)
✓ VirusTotal
✓ AnyRun
✓ CyberChef
✓ Notepad++
```
## 项目来源 🗂️
✓ [SOC109 - 检测到 Emotet 恶意软件 | LetsDefend](https://app.letsdefend.io/monitoring?channel=investigation&event_id=85)
✓ [SOC104 - 检测到恶意软件 | LetsDefend](https://app.letsdefend.io/monitoring?channel=investigation&event_id=36)
✓ [挑战 - 恶意文档 | LetsDefend](https://app.letsdefend.io/challenge/malicious-doic)
✓ [挑战 - 恶意 VBA | LetsDefend](https://app.letsdefend.io/challenge/Malicious-VBA)
✓ [挑战 - PowerShell 键盘记录器 | LetsDefend](https://app.letsdefend.io/challenge/powershell-keylogger)
✓ [挑战 - 远程办公 | LetsDefend](https://app.letsdefend.io/challenge/remote-working) ## 许可证 MIT License 版权所有 (c) 2026 Samantha-A-Taylor
✓ [告警 | 检测到恶意软件](https://github.com/Samantha-A-Taylor/MalwareInvestigationPortfolio/blob/main/Alert%20%7C%20Malware%20Detected.md)
✓ [挑战 | 恶意文档](https://github.com/Samantha-A-Taylor/MalwareInvestigationPortfolio/blob/main/Challenge%20%7C%20Malicious%20Doc.md)
✓ [挑战 | 恶意 VBA](https://github.com/Samantha-A-Taylor/MalwareInvestigationPortfolio/blob/main/Challenge%20%7C%20Malicious%20VBA.md)
✓ [挑战 | PowerShell 键盘记录器](https://github.com/Samantha-A-Taylor/MalwareInvestigationPortfolio/blob/main/Challenge%20%7C%20PowerShell%20Keylogger.md)
✓ [挑战 | 远程办公](https://github.com/Samantha-A-Taylor/MalwareInvestigationPortfolio/blob/main/Challenge%20%7C%20Remote%20Working.md) ## 汇总表
✓ [SOC104 - 检测到恶意软件 | LetsDefend](https://app.letsdefend.io/monitoring?channel=investigation&event_id=36)
✓ [挑战 - 恶意文档 | LetsDefend](https://app.letsdefend.io/challenge/malicious-doic)
✓ [挑战 - 恶意 VBA | LetsDefend](https://app.letsdefend.io/challenge/Malicious-VBA)
✓ [挑战 - PowerShell 键盘记录器 | LetsDefend](https://app.letsdefend.io/challenge/powershell-keylogger)
✓ [挑战 - 远程办公 | LetsDefend](https://app.letsdefend.io/challenge/remote-working) ## 许可证 MIT License 版权所有 (c) 2026 Samantha-A-Taylor
标签:DAST, DNS 反向解析, Go语言工具, OpenCanary, 威胁情报, 安全运营, 库, 应急响应, 开发者工具, 恶意软件分析, 扫描框架, 文档库